Nell’ambito dell’attività di ricerca RECA e sfruttando gli sviluppi finali del progetto europeo TIRAN, si presentano i risultati delle attività di valutazione della libreria di funzioni di tolleranza ai guasti (FT). Ai fini di comprendere appieno l’adeguatezza dell’approccio e la validità dei metodi sviluppati in RECA, è indispensabile caratterizzare e valutare le reali prestazioni di questi metodi applicati a casi pilota. La valutazione qui riportata riguarda l’applicazione dei metodi e della libreria FT al caso del Sistema di Automazione delle Cabine Primarie per la Distribuzione dell’Energia Elettrica. I risultati e le considerazioni ad essi associate sono state anche confermate e sostenute dai risultati ottenuti da analoghe attività di valutazione dell’approccio applicato ad altri casi pilota, svolte da Siemens [TD5.3] ed Eonic Systems [TD6.3] nell’ambito del progetto TIRAN. Nella relazione si descrivono sommariamente i diversi aspetti in cui si articola lo schema di valutazione di riferimento: − Le misure sulle piattaforme target − L’analisi quantitativa predittiva basata sui modelli GSPN − Il soddisfacimento dei requisiti dell’applicazione pilota − La valutazione di costi e benefici. In particolare si richiamano brevemente gli indici utili per valutare gli aspetti di dependability, portabilità e flessibilità di un’applicazione software. L’attività di valutazione finora svolta riguarda principalmente attività di misura del prototipo applicativo relativo al Sistema di Automazione delle Cabine Primarie sulle piattaforme target: misure dei tempi di esecuzione (time overhead) e dell’occupazione di memoria (memory overhead). Si sono anche valutate sinteticamente il grado di copertura dei requisiti di dependability dell’applicazione pilota fornito dall’approccio e, infine, si sono analizzati alcuni aspetti qualitativi legati ai costi e ai benefici dell’integrazione della libreria di funzioni FT in un’applicazione industriale. I valori delle misure delle prestazioni della libreria FT integrata nel prototipo pilota sono stati ottenuti provando ad eseguire il codice applicativo con diverse configurazioni hardware (singolo processore e multiprocessore) e software (sistemi operativi Windows NT e VxWorks). Pur assumendo un carattere decisamente preliminare, tali valori consentono di sviluppare alcune riflessioni utili per il proseguo dell’attività RECA. I risultati evidenziano che l’approccio alla FT proposto, basato su un modello architetturale distribuito altamente flessibile e portabile, è caratterizzato da prestazioni in tempo reale molto modeste.

Il sovraccarico computazionale attribuibile all’uso della libreria FT e i tempi di risposta complessivi fortemente dipendono: − dalle prestazioni del sotto-sistema di comunicazione, i cui parametri fondamentali sono il tempo impiegato per lo scambio di un singolo messaggio e il time-out del messaggio − dall’entità della ridondanza spaziale utilizzata dalle funzioni FT − dai valori assegnati ai parametri temporali delle funzioni FT (frequenze e time-out). Nella determinazione delle prestazioni del sistema complessivo si è riscontrato un impatto elevato delle funzioni di comunicazione dovuto alla complessità dell’approccio in termini di numero di processi esistenti e di messaggi scambiati tra i processi allocati sui nodi. Il sotto-sistema di comunicazione assume quindi un ruolo critico nell’economia della progettazione e nella configurazione dei sistemi real- time fault-tolerant. Le funzioni FT della libreria integrate nell’applicazione oggetto di valutazione sono, nella versione attuale, utilizzabili direttamente solo per funzioni/sistemi di automazione che evolvono con una dinamica lenta, dell’ordine delle decine di secondi (Soft Real-Time). Prestazioni più spinte che debbano soddisfare stringenti requisiti di tempo reale, dell’ordine dei millisecondi (Hard Real-Time), come nel caso di processi di controllo e protezione legati alla distribuzione dell’energia elettrica, richiedono come minimo ulteriori attività di ingegnerizzazione del codice. Aspetti dell’approccio che presentano grosse potenzialità di miglioramento delle prestazioni globali delle applicazioni sono: − Uso di protocolli di comunicazione più efficienti: il modello di comunicazione assunto dall’approccio è basato su mailbox per la comunicazione locale e su socket per la comunicazione remota tra nodi interconnessi da protocolli standard per la trasmissione dei messaggi in rete, che offrono primitive IPC multicast, non-blocking e asincrone (tipo User Datagram Protocol – UDP) − Uso più efficiente dei sistemi operativi in Tempo Reale − Ottimizzazione del codice delle funzioni FT − Ottimizzazione del codice dell’applicazione. L’attività RECA 2001 prevede una valutazione dell’approccio FT basato sull’impiego di protocolli di comunicazione più efficienti. Il valore dell’approccio proposto da RECA per la progettazione di sistemi di automazione dependable risiede nella sua elevata capacità ad adattarsi a svariati ambiti applicativi, diversificati sia dai requisiti di dependability che dai vincoli di configurazione hardware e software. Gli aspetti più qualificanti possono riassumersi nei punti seguenti: − approccio modulare allo sviluppo delle capacità di dependability dei sistemi, sostenuto dal linguaggio di configurazione e recovery ARIEL e dalla disponibilità di API della libreria FT

− architettura distribuita composta da piattaforme hardware/software eterogenee (che utilizzano diversi sistemi operativi in tempo reale) − configurabilità dell’architettura distribuita e delle funzioni FT − portabilità del codice della libreria FT su nuove piattaforme (grazie alla disponibilità di RTOS API). Questi aspetti, una volta consolidati in un prodotto completamente collaudato, portano indubbiamente dei vantaggi economici significativi quali: − La riduzione dei costi di sviluppo del software per la dependability − La riduzione dei costi di manutenzione del software per la dependability − Il superamento di gap tecnologici che si affrontano nell’aggiornamento degli apparati di automazione. L’approccio consente di progettare la FT di un’applicazione tenendo conto dell’attuale tecnologia che impone una diversa distribuzione delle funzioni FT tra le implementazioni Hw e Sw. La sperimentazione dell’approccio sul caso pilota relativo a una classe di processi elettrici ha dimostrato la possibilità di sperimentare in modo agevole diverse strategie di tolleranza ai guasti che superano le capacità dei sistemi di automazione vecchia generazione attualmente in uso, basati su soluzioni hardware/software dedicate. Nella progettazione della dependability occorre tenere sempre presente che − riduzione dei costi dell’Hardware e aumento delle capacità di Fault Tolerance da una parte, − aumento delle capacità di Fault Tolerance e ottimizzazione delle prestazioni dall’altra, costituiscono criteri di decisione intrinsecamente contrastanti, che richiedono una valutazione oculata della soluzione più adeguata al fine del raggiungimento del miglior compromesso.